ISO FDIS31000风险管理最终发布版中文翻译稿8609646694

ISO/FDIS31000:2009(E)iv©ISO2009–Allrightsreserved本版本由YH.Liu整理，非专业翻译版。未避免理解偏差，对有异议的中文部分，请参考原文。独家发布【Cosox】1/47—PrinciplesandguidelinesForeword前言国际标准化组织（ISO）是各国标准化团体（ISO成员团体）组成的世界性的联合。制定国际标准工作通常由ISO的技术委员会完成。个成员团体若对某技术委员会确定的项目感兴趣，均由权参加该委员会的工作。与ISO保持联系的各国际组织（官方的或非官方的）也可参加有关工作。ISO与国际电工委员会（IEC）在电工技术标准化方面保持密切合作的关系。国际标准是根据ISO/IEC导则第2部分的规则起草的。由技术委员会通过的国际标准草案提交各成员团体投票表决，需取得了至少3/4参加表决的成员团体的同意，国际标准草案才能作为国际标准证实发布。本标准中的某些内容有可能涉及一些专利权问题，这一点应引起注意，ISO不负责识别任何这样的专利权问题。ISO31000由ISO技术管理委员会风险管理工作组编写。所有类型和规模的组织都面临内部和外部因素的影响，使得它不能ISO/FDIS31000:2009(E)iv©ISO2009–Allrightsreserved本版本由YH.Liu整理，非专业翻译版。未避免理解偏差，对有异议的中文部分，请参考原文。独家发布【Cosox】2/47确定是否及何时实现其目标。这种对一个组织的目标影响的不确定性既是“风险”。一个组织的所有活动都涉及风险。组织通过识别、分析、评价风险以及处理风险，以满足他们的风险标准。在这个过程中，他们与利益相关者沟通协商，监测和审查风险控制，并不断的修正风险，以确保风险处理不再是必需的。本标准详细描述了这一系统的和符合逻辑的过程。尽管所有的组织在某种程度上都在管理风险，本标准规定了一些原则，以使风险管理变得有效。本标准建议，组织制定，实施和不断完善的框架，其目的是将风险管理纳入到组织的治理，战略和规划，管理，报告程序，政策，价值观和文化等综合管理的整个过程。风险管理可以应用到整个组织，它的许多领域和层次，在任何时间，以及具体职能，项目和活动。尽管在过去这段时间内的许多部门，以满足不同的需要的风险管理的做法是成熟的，但是通过采用一致性流程的综合框架有助于确保风险管理的有效性，并且有效和连贯整个组织。在本标准规定的一般性的原则和方针，目的在于在任何的环境和背景下，系统的、清晰的、可靠的ISO/FDIS31000:2009(E)iv©ISO2009–Allrightsreserved本版本由YH.Liu整理，非专业翻译版。未避免理解偏差，对有异议的中文部分，请参考原文。独家发布【Cosox】3/47方式管理风险。每一个具体部门或风险管理的应用都产生了独自的需要，受众，观念和标准。因此，这一国际标准的主要特点是将风险管理“环境建设”列入其管理过程的开始活动。环境建设方面将捕获该组织的目标，它所追求目标的环境，它的利益相关者和风险标准的多样性，所有这些都将帮助揭示和评估风险的性质和复杂性。本标准描述了风险管理的原则、框架、风险管理的流程之间的关系，如图1所示。当按照这一国际标准实施和维护时，风险的管理者需使一个组织加强，例如：⎯增加实现目标的可能性⎯鼓励主动性管理;⎯在组织中，意识到识别和对待风险的需要;⎯提高的机会和威胁识别能力⎯符合有关法律及监管要求和国际规范⎯改进财务报告ISO/FDIS31000:2009(E)iv©ISO2009–Allrightsreserved本版本由YH.Liu整理，非专业翻译版。未避免理解偏差，对有异议的中文部分，请参考原文。独家发布【Cosox】4/47⎯改善治理⎯提高利益相关者的信心和信任⎯建立决策和规划提供可靠的根基⎯加强控制⎯有效地分配和使用资源处理风险⎯提高运营的效果和效率⎯加强健康和安全业绩，以及环境的保护;⎯改善防损和事件管理⎯减少损失⎯提高组织的学习能力⎯提高组织的应变能力本标准是为了满足广大利益相关者需要，包括：a）开发者对其机构内的风险管理政策负责;b）有人对组织作为一个整体、或者某一特定范围、项目或者活动的风险管理的有效性负责;c）有人需要对风险管理评估的有效性负责;ISO/FDIS31000:2009(E)iv©ISO2009–Allrightsreserved本版本由YH.Liu整理，非专业翻译版。未避免理解偏差，对有异议的中文部分，请参考原文。独家发布【Cosox】5/47）标准，指南，程序和守则的开发者，应该对在特定的环境下风险管理整体的或部分的文件得以实施负责；目前许多组织的管理实践和流程包括风险管理的组成部分，并且许多组织对特殊类型的风险或环境下已经采用了正式的风险管理流程。在这种情况下，组织可以在本标准下开展对其现有的做法和程序严格审查。在本国际标准中，“风险管理”和“管理风险”同时使用。一般来说，“风险管理”是指管理风险的有效性架构（原则，框架和流程），而“管理风险”是指运用该架构管理特定风险。ISO/FDIS31000:2009(E)iv©ISO2009–Allrightsreserved本版本由YH.Liu整理，非专业翻译版。未避免理解偏差，对有异议的中文部分，请参考原文。独家发布【Cosox】6/47:2009(E)iv©ISO2009–Allrightsreserved本版本由YH.Liu整理，非专业翻译版。未避免理解偏差，对有异议的中文部分，请参考原文。独家发布【Cosox】7/47—Principlesandguidelines风险管理-原则和指导方针1Scope范围本标准提供了风险管理的原则和一般准则。本标准可用于任何公共，私人或社区组织，协会，团体或个体。因此，这个国际标准是不针对特殊行业或部门。为方便起见，本国际标准提到的所有不同的用户通用术语为“组织”。本标准可用于整个组织生活及各种活动，包括战略和决策，运营，流程，职能，范围广泛的项目，产品，服务和资产。本标准可以适用于任何类型的风险，无论其性质是否有积极或消极的后果。尽管本国际标准提供了风险管理的一般准则，但不是为了促进各组织风险管理的统一性。设计和风险管理计划和框架的实施需要考虑到特定组织的不同需要，具体做法受其特定的目标，环境，结构，业务，流程，功能，项目，产品，服务或资产等影响。本国际标准目的是用来协调风险管理与现有的和未来的标准之间ISO/FDIS31000:2009(E)iv©ISO2009–Allrightsreserved本版本由YH.Liu整理，非专业翻译版。未避免理解偏差，对有异议的中文部分，请参考原文。独家发布【Cosox】8/47的流程。它提供了一个支持处理特定风险和/或部分风险的通用方法，而不是取代这些标准。本标准不适合认证目的。2Termsanddefinitions术语和定义下列术语和定义适用本文件。2.1risk风险:不确定性对目标的影响注1：影响是与预期的偏差——积极和/或消极注2：目标可以有不同方面（如财务，健康和安全，以及环境目标），可以体现在不同的层次（如战略，组织范围，项目，产品和流程）。注3：风险通常被描述为潜在事件（2.19）和后果（2.20），或它们的组合。注4：风险往往表达了对事件后果（包括环境的变化）和相关的可能性概率（2.21）。2.2riskmanagement风险管理一个组织对风险的指挥和控制的一系列协调活动2.3riskmanagementframework风险管理框架ISO/FDIS31000:2009(E)iv©ISO2009–Allrightsreserved本版本由YH.Liu整理，非专业翻译版。未避免理解偏差，对有异议的中文部分，请参考原文。独家发布【Cosox】9/47组织对风险管理的设计、实施、监控、检查和持续改进等进行的一系列基础的组织安排2.1).基础包括管理风险的政策、目标、任务和承诺组织安排包括计划、关系、职责、资源、流程和活动2.4riskmanagementpolicy风险管理政策(2.2)一个组织对风险管理的意图和指导方向的陈述2.5riskattitude风险态度(2.1)组织评估、追求、保留、采取或避开风险的处理手段2.6riskappetite风险偏好一个组织追求、保留或采取风险的数量和类型2.7riskaversion风险规避(2.1)避开风险的态度2.8riskmanagementplan风险管理计划(2.1)为风险管理框架方案指定方法、管理措施、资源以用于管理风险管理措施一般包括程序、做法、职责分配、序列和及时的行动ISO/FDIS31000:2009(E)iv©ISO2009–Allrightsreserved本版本由YH.Liu整理，非专业翻译版。未避免理解偏差，对有异议的中文部分，请参考原文。独家发布【Cosox】10/47风险管理计划适用于特定的产品、流程和项目、部分或整个组织2.9riskowner风险所有者(2.1)对风险管理持有权力和责任的个人或实体2.10riskmanagementprocess风险管理流程系统的应用管理政策，程序和沟通协商，在建立的风险管理环境下，识别，分析，评价，处理，监测和审查风险2.11establishingthecontext环境建设界定风险管理应该考虑的外部和内部参数，并设置风险管理政策的范围和风险的标准2.12externalcontext外部环境外部环境包括文化、社会、政治、法律、监管、财政金融、技术、经济、自然和竞争环境，无论是国际，国家，区域或地方⎯影响该组织的主要驱动和趋势⎯与外部利益相关者之间的关系和价值观ISO/FDIS31000:2009(E)iv©ISO2009–Allrightsreserved本版本由YH.Liu整理，非专业翻译版。未避免理解偏差，对有异议的中文部分，请参考原文。独家发布【Cosox】11/47内部环境内部环境包括⎯治理、组织结构、角色和责任⎯政策、目标、实现目标的战略⎯能力、资源和知识（如资本、时间、人、流程、系统和技术）⎯内部利益相关者的价值观⎯信息系统、信息流和（正式的和非正式的）决策流程⎯内部利益相关者价值观之间的关系⎯组织文化⎯标准、指引和组织采用的模式⎯合同关系的形成和范围2.14communicationandconsultation沟通和协商一个组织提供，共享或获取信息，与利益相关者和其他风险管理者持续和反复对话的流程信息涉及存在、性质、形式、可能性、严重程度、评价、可接受性、处理或者其他与管理风险相关的方面ISO/FDIS31000:2009(E)iv©ISO2009–Allrightsreserved本版本由YH.Liu整理，非专业翻译版。未避免理解偏差，对有异议的中文部分，请参考原文。独家发布【Cosox】12/47协商是一个组织与它的利益相关者或其他利益相关者双向沟通的过程，目的在于就以问题提前做出决策或就某一问题决定方向。协商是：⎯通过影响而非权力影响决策的过程⎯加入决策而非共同决策2.15stakeholder利益相